Google đã ra mắt Mobile Vulnerability Rewards Program (Mobile VRP), một chương trình bug bounty mới sẽ trả thưởng cho các nhà nghiên cứu bảo mật cho các lỗ hổng được phát hiện trong các ứng dụng Android của công ty.
Google VRP cho biết: "Chúng tôi rất vui mừng thông báo về Mobile VRP mới! Chúng tôi đang tìm kiếm những chuyên gia săn lỗi để giúp chúng tôi tìm và khắc phục các lỗ hổng trong các ứng dụng di động của mình".
Mục tiêu của chương trình là giảm thiểu lỗ hổng bảo mật trong các ứng dụng Android của bên thứ nhất do Google phát triển hoặc duy trì, từ đó giữ an toàn cho người dùng và dữ liệu của họ.
Các ứng dụng trong phạm vi của Mobile VRP bao gồm các ứng dụng được phát triển bởi Google LLC, được phát triển cùng với Google, nghiên cứu tại Google, Red Hot Labs, Google Samples, Fitbit LLC, Nest Labs Inc, Waymo LLC và Waze.
Danh sách các ứng dụng trong phạm vi chương trình cũng bao gồm những ứng dụng mà Google mô tả là ứng dụng Android "Cấp 1", bao gồm:
- Google Play Services (com.google.android.gms)
- AGSA (com.google.android.googlequicksearchbox)
- Google Chrome (com.android.chrome)
- Google Cloud (com.google.android.apps.cloudconsole)
- Gmail (com.google.android.gm)
- Chrome Remote Desktop (com.google.chromeremotedesktop)
Các lỗ hổng đủ điều kiện bao gồm những lỗ hổng cho phép thực thi mã tùy ý (ACE) và đánh cắp dữ liệu nhạy cảm, cũng như các lỗ hổng có thể kết hợp với các lỗ hổng khác để gây ra tác động tương tự.
Những lỗ hổng này bao gồm:
- Orphaned permissions: các lỗ hổng liên quan đến việc kiểm soát quyền.
- Các lỗi path traversal hoặc zip path traversal có thể dẫn đến việc ghi tùy ý vào các tệp tin hoặc thư mục trên hệ thống.
- Các lỗi intent redirection cho phép kẻ tấn công khai thác để khởi chạy các thành phần ứng dụng không được phép.
- Các lỗi bảo mật do sử dụng không an toàn các yêu cầu đang chờ xử lý (pending intent).
Google cho biết họ sẽ thưởng tối đa 30.000 đô cho việc thực thi mã từ xa mà không cần sự tương tác của người dùng và tối đa 7.500 đô cho các lỗi cho phép đánh cắp dữ liệu nhạy cảm.
Vào tháng 8 năm 2022, công ty đã thông báo sẽ thưởng tiền cho các nhà nghiên cứu bảo mật để tìm ra lỗ hổng trong các phiên bản mới nhất được phát hành của phần mềm nguồn mở Google (Google OSS), bao gồm các dự án Bazel, Angular, Golang, Protocol buffers và Fuchsia.
Kể từ khi ra mắt VRP đầu tiên của mình vào hơn một thập kỷ trước, năm 2010, Google đã thưởng hơn 50 triệu đô cho hàng nghìn nhà nghiên cứu bảo mật trên toàn thế giới vì đã báo cáo hơn 15.000 lỗ hổng.
Vào năm 2022, họ đã trao thưởng 12 triệu đô, bao gồm khoản tiền thưởng kỷ lục 605.000 đô cho chuỗi khai thác Android gồm 5 lỗ hổng bảo mật khác nhau do gzobqq báo cáo, mức thưởng cao nhất trong lịch sử Android VRP. Một năm trước, nhà nghiên cứu này cũng đã báo cáo một chuỗi khai thác nghiêm trọng khác trong Android và nhận được 157.000 đô tiền thưởng kỷ lục tại thời điểm đó.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Phát hiện trojan truy cập từ xa mới trên Play Store ẩn trong một ứng dụng recording Android có tên là iRecorder với hàng chục nghìn lượt cài đặt.
Tín nhiệm mạng | PyPI đã tạm thời đình chỉ người dùng mới đăng ký cũng như không cho phép các dự án mới được tải lên nền tảng cho đến khi có thông báo mới.
Tín nhiệm mạng | Chiến dịch phát tán phần mềm độc hại mới đang được tiến hành bằng cách giả mạo công cụ chỉnh sửa video CapCut để phát tán các phần mềm độc hại khác nhau.
Tín nhiệm mạng | Cơ quan an ninh mạng của Mỹ (CISA) đã cảnh báo về một lỗ hổng mới ảnh hưởng đến các thiết bị Samsung đang bị khai thác trong thực tế
Tín nhiệm mạng | Tin tặc đang bắt đầu nhắm mục tiêu vào thị trường ứng dụng VSCode của Microsoft, với việc tải lên ba tiện ích (extension) Visual Studio độc hại hiện đã có 46.600 lượt tải xuống.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình duyệt web Safari để giải quyết ba lỗ hổng zero-day mới đang bị khai thác trong thực tế